Aufgrund anderer Verpflichtungen war ich dieses Jahr leider nur am Mittwoch auf der it-sa 2014, dennoch habe ich viele interessante Gespräche geführt. Dies bedingte leider auch, dass ich die auf mehreren Panels gehaltenen Vorträge nicht bzw. nur ausschnittsweise verfolgen konnte … Die Folien, die ich gesehen habe, haben mich aber unangenehm an die 90er Jahre erinnert. Irgendwie war ich der Meinung, dass die IT-Security-Branche auf der Höhe der Zeit sein sollte, auch in der Präsentationstechnik (die meisten Anwesenden waren schließlich Vertriebler). Daher hier ein wichtiger Hinweis an die Vortragenden: Wenn man unter Zeitdruck komplexe Zahlen vermitteln will, geht dies mit dröger Stimme und projizierten Tabellen weniger gut als mit anschaulichen Datengrafiken und einer Stimme, die die Bedeutung des Gesehenen unterstreicht.
Jedenfalls waren die Macher von techcast.com so nett, die Vorträge als Webcasts ins Netz zu stellen, sodass man sich alle in Ruhe ansehen kann. Bonus: Mit dem Pause-Knopf kann man auch Tabellen lange genug betrachten, bis sich im Kopf eine informative Grafik daraus gebildet hat. 😉
Komischerweise funktionierte die wirkungsvolle Präsentation an den Herstellerständen vollkommen problemlos, wenn zum Beispiel die Vorteile neuer VPN-Lösungen, schreibgeschützte USB-Sticks mit virtuellen Maschinen für den sicheren Intranetzugriff von Außen, Firewalls oder Penetrationstest-Services vorgestellt wurden. Von den zahlreichen interessanten Gesprächen, die ich geführt habe, will ich ein Beispiel herausgreifen, das zeigt, dass Usability und Security sich auch Post-Snowden immer noch gegenüberstehen, die Branche aber fieberhaft an Ideen arbeitet, diese Kluft zu schließen: Ipswitch File Transfer, das mir anschaulich von Herrn Debusmann erklärt wurde.
IpswitchFT (Update 20200702: nun bei ipswitch.com) bietet eine Cloud für AES256-verschlüsselte Dateianhänge mit Outlook- und Lotus Notes-Integration an. Das Konzept, insbesondere große E-Mail-Anhänge nicht dem Postfach aufzubürden, sondern zum Abruf auf einem Server zu speichern und in der E-Mail einen Downloadlink anzubieten, ist spätestens seit der Dropbox-/Google Drive-Integration in verschiedene Mailclients breit etabliert. Ipswitch vereinfacht dies mit einem Plugin für die zwei wichtigsten Business-Mailclients, Outlook und Lotus Notes und beinhaltet einen eigenen Fileserver, der idealerweise innerhalb der Firma aufgezogen wird. IpswitchFT kann sich von der Konkurrenz absetzen, weil das Plugin den Anhang vor dem Cloud-Upload verschlüsselt. Der Empfänger greift dann über den E-Mail-Link auf den Server zu und gibt ein Passwort ein, um seine Datei HTTPS-gesichert abzuholen.
Als Killer-Feature sehe ich jedoch nicht die Verschlüsselung, auf deren Problematik ich gleich noch zurückkomme, sondern das ausgereift wirkende Logging: Der Server protokolliert in einer Datenbank, wann und von wem die Datei hochgeladen wurde und wann und von wem sie heruntergeladen wurde. Auch erfolglose Downloadversuche werden protokolliert. Zusätzlich kann der Absender festlegen, dass die Datei nur in einem bestimmten Zeitfenster zur Verfügung stehen soll (danach wird der Link ungültig oder die Datei wird vom Server gelöscht), oder dass nur eine bestimmte Anzahl von Download(-versuchen) erlaubt ist. Das große Argument für Ipswitch ist aus meiner Sicht, dass die Ausrede, das Gegenüber hätte diese oder jene Datei „nicht bekommen“, beweisbar mit Zeitstempel und Dateihash vom Tisch gefegt werden kann.
Zurück zur Verschlüsselung. Hier sehe ich zwei mögliche Schwachstellen: In der Standardeinstellung liefert Ipswitch das Passwort entweder in der selben E-Mail aus, in der auch der Download-Link enthalten ist, oder aber in einer separaten E-Mail. Da E-Mails, wie mittlerweile bekannt sein dürfte, offen lesbar „wie Postkarten“ durch das Netz flitzen, könnte man an diesem Punkt die Datei auch gleich unverschlüsselt in der E-Mail mitschicken oder ungesichert in irgendeine Cloud hochladen. Immerhin erlaubt Ipswitch – und dazu ist jedem zu raten – das Passwort auch auf einem anderen Kanal weiterzugeben, zum Beispiel telefonisch. Heutzutage, da alle Carrier auf IP-Telefonie umstellen, könnte zwar auch dieser Traffic mitgeschnitten werden, aber es ist immerhin etwas mehr Aufwand, als eine E-Mail mitzulesen. Das gleiche gilt für die mögliche Integration mit einem SMS-Gateway über die vorhandene API. Hier ist also offenbar der Punkt, an dem Sicherheit in der Standardeinstellung der Usability geopfert wird: Damit der Empfänger komfortabel per Klick auf Link und Kopieren/Einfügen des Passworts auf seinen Dateianhang zugreifen kann, wird das Passwort ungesichert übertragen.
Die zweite mögliche Schwachstelle ist, dass Ipswitch ebenfalls aus Akzeptanzgründen darauf verzichtet, dem Empfänger die Installation eines Entschlüsselungs-Clients zuzumuten. Jetzt gibt es zwei Möglichkeiten: Der Empfänger ruft mit seinem Passwort die Datei vom Server ab, der Server entschlüsselt die Daten in der Cloud und schickt sie „nur“ mit SSL-Transportverschlüsselung zum Empfänger, oder der Server sendet die Datei verschlüsselt zum Empfänger und dieser nutzt die Krypto-Funktionen seines Browsers. Im letzten Fall müsste das Passwort den Rechner des Empfängers nicht verlassen, dafür enthielte der Download-Link alle Credentials zum Abruf der Datei. Im ersten Fall würde das Passwort zum Server geschickt, um sich anzumelden. Da Ipswitch darauf setzt, dauerhafte (firmeninterne) und temporäre (externe) User einzurichten, deren mögliche Gesamtzahl den Paketpreis bestimmt, wird das Passwort zur Anmeldung am Server genutzt werden. In jedem Fall steht und fällt die Sicherheit dann mit SSL und den Krypto-Funktionen des Browsers – und IE, Firefox und Chrome gehören nach wie vor zu den beliebtesten Angriffsszielen für Hacker. Hier weicht die Usability wieder der Sicherheit: Jeder Download muss von einem (temporären) Benutzerkonto ausgehen, es gibt meines Wissens nach keine anonymen Downloadlinks. Dies impliziert, dass der Kunde sich mindestens ein weiteres Benutzerkonto/Passwort-Paar merken muss, was in der heutigen Account-Flut nicht jedem gefallen dürfte.
Alles in allem finde ich IpswitchFT ein interessantes, einfach zu nutzendes Paket für Unternehmen: Zum einen würde die Software es mir ermöglichen, auch Krypto-Muffeln (96% meiner Kunden) Dateien verschlüsselt zuzustellen, wobei der Schlüssel einen anderen Kanal nutzen kann als die verschlüsselten Daten. Mit einem entsprechenden Account könnte er mir per Web-Interface die Daten ebenso sicher zurückschicken. Und das Logging ermöglicht es, die erfolgreiche vertragsgemäße Lieferung von Daten nachzuweisen. Das können nur wenige andere Attach-to-Cloud-Lösungen. Bleibt als letzte Abwägung der Preis. Für eine Lizenz, die 50 gleichzeitige Nutzer erlaubt, zahlt man ca. 4000 Euro, für 250 gleichzeitige Nutzer etwa 5000 Euro. Für mittelständische Unternehmen ist dies ein Klacks, für einen Freelance-Übersetzer kommt es etwa dem Einkommen einer geschäftigen Woche gleich.
Alternative für die „Kleinen“: Mit der quelloffenen Alternative OwnCloud steht dem eine kostenlose eigene Cloud gegenüber, in die man manuell (Edit: in Thunderbird per Add-On OwnCloud for Filelink) AES256-verschlüsselte ZIP-Archive hochladen kann, deren Passwort man ebenfalls auf anderem Weg (Brief, Telefon, SMS, etc.) weitergibt, und welche die Daten ebenfalls SSL-gesichert transportieren kann (Server-Zertifikat vorausgesetzt). OwnCloud ist ohne die einfache Mail-Integration von IpswitchFT weniger benutzerfreundlich, aber komplett kostenlos und für den Empfänger vergleichbar aufwändig: Dieser kannn die Datei über den beschränkt gültigen E-Mail-Link herunterladen, das ZIP-Archiv öffnen, das Passwort eintippen und fertig. Damit bleiben aus meiner Sicht die praktische Mailintegration und das ausgefeilte Logging als große Pluspunkte für IpswitchFT übrig, denn selbst das Aktivitätenlog SuperLog speichert nicht so stringent Zugriffe, wie der kommerzielle Anbieter das kann (Edit: Die lizenzierbare OwnCloud Enterprise Edition enthält u.a. business-taugliche Logging-Funktionen). Für Unternehmen, in denen verschlüsselte Dateitransfers zum Standard werden sollen, steht und fällt der Erfolg der „Krypto-Kampagne“ mit der einfachen Benutzbarkeit – Arbeitnehmer und Partner werden nur dann regelmäßig und gerne verschlüsseln, wenn es ihnen im hektischen Berufsalltag nicht als zusätzliche Last erscheint. Ipswitch’s zweiter „Datei anhängen“-Button im normalen Mailclient mit einem Webclient als Ausweichlösung ist dafür definitiv der richtige Weg.
Und jetzt viel Spaß mit den oben verlinkten Vortragsvideos!
Schreibe einen Kommentar